Am încercat să urmăresc fișierul alert.log adhoc cu auditd, dar nu știu de ce nu funcționează.
Nu am găsit intrări asociate în fișierul auditd.log.
# auditctl -w /tmp/alert1.log -p wa -k alertă
#
# auditctl -l
-o sarcină niciodată
-a întotdeauna, ieșire -F arch=b64 -S adjtimex,settimeofday -F key=time-change
-a întotdeauna, ieșire -F arch=b32 -S stime,settimeofday,adjtimex -F key=time-change
-a întotdeauna, ieșire -F arch=b64 -S clock_settime -F key=time-change
-a întotdeauna, ieșire -F arch=b32 -S clock_settime -F key=time-change
-w /tmp/alert1.log -p wa -k alertă
alertă ecou >> /tmp/alert1.log
De asemenea, am încercat să monitorizez activitatea loggerului cu acest lucru:
-w /bin/logger -p x -k LOGGER_CALL
Dar se pare că generează o alertă o singură dată, când folosesc din nou loggerul, atunci următoarea alertă de logger nu este urmărită/înregistrată.
...EDITAȚI | ×
Am găsit un comportament ciudat,
Funcționează numai când folosesc doar aceste două reguli>
-w /usr/bin/logger -p x -k LOGGER_CALL
-w /tmp/alert.log -p wa -k alertă
Dar când folosesc și alte reguli, atunci nu a funcționat,
Alte reguli pot trece peste regulile mele?
Un alt comportament ciudat > Când pur și simplu curăț / modific regulile și repornesc auditd, încă nu funcționează, trebuie să repornesc întregul server.
Iată toate regulile în care nu a funcționat.
-o sarcină, niciodată
-a mereu,exit -F arch=b64 -S adjtimex -S settimeofday -k time-change
-a mereu,exit -F arch=b32 -S adjtimex -S settimeofday -S stime -k time-change
-a mereu,exit -F arch=b64 -S clock_settime -k time-change
-a întotdeauna,exit -F arch=b32 -S clock_settime -k time-change
-w /etc/localtime -p wa -k schimbarea oră
-w /var/log/sudo.log -p wa -k acțiuni
-w /etc/sudoers -p wa -k domeniul de aplicare
-w /etc/sudoers.d/ -p wa -k domeniul de aplicare
-w /var/run/utmp -p wa -k sesiune
-w /var/log/wtmp -p wa -k autentificări
-w /var/log/btmp -p wa -k autentificări
-w /var/log/lastlog -p wa -k autentificări
-w /var/run/faillock/ -p wa -k autentificări
-w /etc/selinux/ -p wa -k MAC-policy
-w /usr/share/selinux/ -p wa -k MAC-policy
-a întotdeauna,exit -F arch=b64 -S sethostname -S setdomainname -k system-locale
-a întotdeauna,exit -F arch=b32 -S sethostname -S setdomainname -k system-locale
-w /etc/issue -p wa -k system-locale
-w /etc/issue.net -p wa -k system-locale
-w /etc/hosts -p wa -k system-locale
-w /etc/sysconfig/network -p wa -k system-locale
-w /etc/sysconfig/network-scripts/ -p wa -k system-locale
-w /etc/group -p wa -k identitate
-w /etc/passwd -p wa -k identitate
-w /etc/gshadow -p wa -k identitate
-w /etc/shadow -p wa -k identitate
-w /etc/security/opasswd -p wa -k identitate
-w /usr/bin/logger -p x -k LOGGER_CALL
-w /tmp/alert.log -p wa -k alertă
